Ein großes Krankenhaus ist als Organisation wie ein Dienstleistungsunternehmen zu betrachten, das jedoch bei seinen Leistungen hohen Anforderungen des Datenschutzes und Risiken der Patientengesundheit unterliegt. Dabei ist nicht nur der Einsatz medizinischer IT-Systeme relevant, auch bei der Verwaltung ist die Informationstechnik nicht wegzudenken. Der § 75c SGB V fordert, dass sich alle Krankenhäuser ab dem 01.01.2022 um Informationssicherheit kümmern müssen und dies bspw. durch Implementierung des B3S (des branchenspezifischen Sicherheitsstandards der DKG e.V.) angehen. Die auf Basis des B3S mögliche Verbesserung der Resilienz, d.h. der Widerstandsfähigkeit der IT und Schutz vertraulicher Informationen dient damit im Ergebnis der Etablierung eines angemessenen Sicherheitsniveaus bei gleichzeitiger Wahrung des üblichen Niveaus der Patientenversorgung und der Verhältnismäßigkeit der umzusetzenden Maßnahmen. Zudem sind Fördermittel für Maßnahmen aus dem KHZG verfügbar, diese fördern das ISMS und § 75c fordert es.
01
GAP-Analyse
Erhebung, Analyse und Beurteilung des Status Quo von Organisation und Technik auf Basis der Anforderungen des B3S
02
Zieldefinition und Planung
Erstellung einer belastbaren Aufwandschätzung der nötigen Maßnahmen sowie Entwicklung einer Planung für die Umsetzung sowie deren Integration im Rahmen der Projekte unter den Förderrichtlinien der KHZG (Fördertatbestand 10).
03
Umsetzung und Einführung einer ISMS-Lösung
Ausgestaltung und operative Einführung eines Informationssicherheitsmanagement-Systems (ISMS) mit Einführung einer ISMS-Software
04
Branchenfokussierte Resilienz fördern
Gestaltung und Einführung eines Business-Continuity-Management-Systems (BCM), einschließlich Notfallkonzeptionen, Wiederanlaufplänen sowie Tests und Übungen
Die Schritte zum B3S
Der erprobte Ablauf im Überblick
Unsere Partner
Gerne arbeite ich beim nächsten Projekt wieder mit Herrn Salvador und Team zusammen. Danke und alles Gute!
Andreas Freitag, BMW AG
Mein TISAX® Audit verlief reibungslos und war auf Anhieb erfolgreich, wir konnten unsere Informationssicherheit gemäß TISAX® nachweisen und können damit nun neue Automotive-Kunden gewinnen.
Lücken in unserer Vorbereitung bzw. Prüfung wurden zeitnah geschlossen und Dokumente in hoher Qualität wurden von Opexa geliefert. Das Team um Klaus Höllerer, Klaus Kilvinger und Thomas Salvador kann ich nur empfehlen.
Dr. Samir Kadunic, MAASU GmbH
Bei der Prüfung von Kundenanforderungen im Bereich TISAX® gab es dringenden Beratungsbedarf im Unternehmen. Dank der Hilfe der Opexa Advisory GmbH konnten wir unsere Kundenanforderungen erfüllen und zudem unsere Ziele mit einer deutlichen Kostenersparnis erreichen.
Die Opexa Advisory ist wegen der langjährigen Automotive-Erfahrung, dem Projekt Know-how und ihrer kompetenten, effizienten und unkomplizierten Unterstützung der ideale Partner.
Herbert Schmidt, Dennemeyer & Co. GmbH
Was unsere Kunden sagen
Häufige Fragen
Welcher finanzielle und zeitliche Aufwand ist zu erwarten?
Wie kann man die zahlreichen Anforderungen des B3S umsetzen und nachweisen?
Die Basisnorm ISO/IEC 27001 wurde erstmals 2005 veröffentlicht und zuletzt 2022 aktualisiert, ist also etabliert. Da der B3S auf diesem Standard aufbaut und auch andere vorhandene bewährte Konzepte und Normen (z. B. Prozess-Sicht analog ISO 9001) heranzieht, können die in vielen Branchen bereits etablierte Methoden angewendet werden.
Denn was in vielen Branchen – vom kleinen Unternehmen bis zum Konzern - bereits seit Jahren in Einsatz ist, hat sich bewährt. Die üblichen Werkzeuge, Methoden und Verfahren (Gefahrenanalyse, Risikobewertung, Risikomanagement, Anforderungsumsetzung, Dokumentation, Vorfallmanagement, Reporting, Kontrollsysteme etc.) sind nutzbar.
Davon profitieren Patienten, Personal, Einrichtung, das Gesundheitswesen und damit auch die Allgemeinheit!
In jedem Falle ist initial eine Investition erforderlich, um die gesetzlichen Anforderungen zu erfüllen. Der Bedarf wird im Rahmen einer Gap-Analyse ermittelt und anhand einer Maßnahmenplanung geschätzt. Als Mindestdurchlaufzeit sind 4-6 Monate nicht unrealistisch, die ganze Organisation muss sich ebenso anpassen.
Die Kostenbelastung kann über Mittel des Bundes und der Länder abgemildert werden. Die Maßnahmen folgen dem KHZG-Fördertatbestand 10, der Prävention, Detektion, Mitigation und Awareness gegenüber Informationssicherheitsvorfällen - also solcher Vorfälle, bei denen wichtige Informationen gefährdet sind, dabei ist es egal, ob diese auf Papier oder digital vorliegen.
Durch die Anwendung von Informationssicherheitsmanagement-Software mit bereits vorkonfigurierten Richtlinien und Prozessen wird sowohl die Einführung, Anwendung und der Nachweis besser, schneller, nachhaltiger für die Zukunft und kostengünstiger!
Muss eine Gesundheitseinrichtung einen Informationssicherheitsbeauftragten und ein ISMS haben?
ISB? Ja! Das ist im B3S eindeutig geregelt, die Geschäftsführung muss die Verantwortlichkeit für die Kontrolle der Zielerreichung des Informationssicherheitsmanagements sowie für die Umsetzung der im IT-Sicherheitsprozess abgestimmten Maßnahmen eindeutig zuweisen. Die konkrete Einrichtung der Rolle des Informationssicherheitsbeauftragten ist dabei nicht spezifiziert, dies kann in Vollzeit, Teilzeit, intern oder extern erfolgen. Die Person muss die Fachkenntnisse haben und die nötige zeitliche Kapazität haben, sie muss auch in die Organisation eingebunden sein, um ihren Aufgaben gerecht werden zu können.
ISMS? Ja! Es ist der Kern für die Umsetzung technischer und organisatorischer Maßnahmen, die sich aus der Bewertung erkannter Risiken für die Informationssicherheit ergeben können. Der Aufbau und Betrieb eines Informationssicherheitsmanagementsystems (ISMS) wird für den B3S-Geltungsbereich gefordert.
Ergeben sich weitere Vorteile aus dem Aufbau der Strukturen und Einführung eines ISMS?
Die Wahrscheinlichkeit des Auftritts von Datenpannen wird reduziert, Möglichkeiten und Risiken von Cyberangriffen auf Informationssysteme der Einrichtung werden reduziert, damit ebenso die Möglichkeit von Personenschäden bei Patienten. Die laufende Überprüfung der Organisation nach den Maßgaben des B3S bewirkt eine laufende Optimierung der Informationssicherheit, sie wird nach und nach Teil eines kontinuierlichen Verbesserungsprozesses in der medizinischen Versorgung. Damit werden die gesamten Rahmenprozesse laufend optimiert, was auch der Steigerung der Wirtschaftlichkeit des Betriebes dient.